Dit document biedt een voorbeeldconfiguratie voor de LAN-to-LAN (Site-to-Site) IPsec-tunnel tussen Cisco security applicaties (ASA/PIX) en een Cisco IOS-router. Statische routes worden gebruikt voor eenvoud.
Raadpleeg PIX/ASA 7.x security applicatie voor een IOS Router LAN-to-LAN IPsec Tunnel Configuration Voorbeeld om meer te weten te komen over hetzelfde scenario waarin PIX/ASA security applicatie softwareversie 7.x uitvoert.
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
End-to-end IP connectiviteit moet vóór het beginnen van deze configuratie worden vastgesteld.
De Security Appliance-licentie moet worden ingeschakeld voor Data Encryption Standard (DES) encryptie (op een minimaal coderingsniveau).
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco adaptieve security applicatie (ASA) met versie 8.x en hoger
ASDM versie 6.x en hoger
Cisco 1812 router met Cisco IOS® softwarerelease 12.3
Cisco Security apparaat Manager (DSM) versie 2.5
Opmerking: Raadpleeg HTTPS-toegang voor ASDM om de ASA te kunnen configureren door de ASDM.
Opmerking: Raadpleeg de basisrouterconfiguratie met behulp van een dm om de router door een dm te laten configureren.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Opmerking: Raadpleeg Configuration Professional: Site-to-Site IPsec VPN tussen ASA/PIX en een IOS routerconfiguratievoorbeeld voor een soortgelijke configuratie met Cisco Configuration Professional op de router.
Deze configuratie kan ook worden gebruikt met de Cisco PIX 500 Series security applicatie, die versie 7.x en hoger uitvoert.
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Dit document gebruikt de netwerkinstellingen die in dit diagram worden weergegeven.
Opmerking: de IP-adresseringsschema's die in deze configuratie worden gebruikt, zijn niet wettelijk routeerbaar op het internet. Ze zijn RFC 1918 adressen, die in een labomgeving gebruikt zijn.
Voltooi deze stappen om de VPN-tunnel te maken:
Open uw browser en voer https://<IP_Address van de interface van ASA in die is geconfigureerd voor ASDM Access>om toegang te krijgen tot de ASDM in de ASA.
Controleer of alle waarschuwingen die uw browser u geeft, behoren tot de SSL-certificatie. De standaard gebruikersnaam en wachtwoord zijn beide leeg.
De ASA presenteert dit venster om het downloaden van de ASDM-toepassing mogelijk te maken. Dit voorbeeld laadt de toepassing op de lokale computer en werkt niet in een Java-applet.
Klik op Download ASDM Launcher en Start ASDM om de installateur voor de ASDM-toepassing te downloaden.
Voltooi na het downloaden van de ASDM Launcher de stappen die door de aanwijzingen zijn geleid om de software te installeren en de Cisco ASDM Launcher uit te voeren.
Voer het IP-adres in voor de interface die u met de http - opdracht en een gebruikersnaam en wachtwoord hebt ingesteld als u er een hebt opgegeven.
Dit voorbeeld gebruikt cisco123 voor de gebruikersnaam en cisco123 als het wachtwoord.
Start de IPsec VPN-wizard nadat de ASDM-toepassing is aangesloten op de ASA.
Kies het tunneltype Site-to-Site IPsec VPN en klik op Volgende zoals hier wordt getoond.
Specificeer het externe IP-adres van de externe peer. Voer de te gebruiken verificatieinformatie in, de vooraf gedeelde sleutel in dit voorbeeld. De pre-gedeelde sleutel die in dit voorbeeld wordt gebruikt is cisco123. De Naam van de Tunnel Groep zal uw buiten IP adres standaard zijn als u L2L VPN configureren. Klik op Volgende.
Specificeer de eigenschappen die voor IKE moeten worden gebruikt, ook bekend als Fase 1. Deze eigenschappen moeten hetzelfde zijn op zowel de ASA als de IOS Router. Klik op Volgende.
Specificeer de eigenschappen die voor IPsec moeten worden gebruikt, ook bekend als Fase 2. Deze eigenschappen moeten op zowel de ASA als de IOS router overeenkomen. Klik op Volgende.
Specificeer de hosts waarvan het verkeer door de VPN-tunnel moet kunnen passeren. In deze stap moet u de lokale en afstandsnetwerken voor de VPN-tunnel beschikbaar stellen. Klik op de knop naast Local Networks zoals hier aangegeven om het lokale netwerkadres in de vervolgkeuzelijst te kiezen.
Kies het adres Local Network en klik vervolgens op OK zoals hier wordt weergegeven.
Klik op de knop naast Remote Networks zoals hieronder aangegeven, om het externe netwerkadres in de vervolgkeuzelijst te kiezen.
Kies het adres van het Remote Network en klik vervolgens op OK zoals hieronder wordt weergegeven.
N.B.: Als u het Remote Network niet in de lijst hebt staan, moet het netwerk aan de lijst worden toegevoegd door op Toevoegen te klikken.
Controleer de vrijstellingsASA side host/network van adresomzetting selectieteken om te voorkomen dat het tunnelverkeer netwerkadresomzetting ondergaat. Klik vervolgens op Volgende.
De eigenschappen die door de VPN Wizard worden gedefinieerd, worden in deze samenvatting weergegeven. Controleer de configuratie en klik op Voltooien wanneer u tevreden bent met de juiste instellingen.
Voltooi deze stappen om site-to-Site VPN-tunnelheid op de Cisco IOS-router te configureren:
Open uw browser en voer https://<IP_Address van de interface van de router in die voor de Toegang van het Sdm op de router is gevormd.
Controleer of alle waarschuwingen die uw browser u geeft, behoren tot de SSL-certificatie. De standaard gebruikersnaam en wachtwoord zijn beide leeg.
De router stelt dit venster voor om de download van de toepassing te toestaan. Dit voorbeeld laadt de toepassing op de lokale computer en werkt niet in een Java-applet.
De download van het dm begint nu. Zodra de lantaarn van het Sdm wordt gedownload, voltooien de stappen die door de herinnering worden geregisseerd om de software te installeren en de Launcher van Cisco Sdm in werking te stellen.
Voer de gebruikersnaam en het wachtwoord in als u deze hebt ingesteld en klik op OK.
Dit voorbeeld gebruikt cisco123 voor de gebruikersnaam en cisco123 als wachtwoord.
Kies Configuration->VPN->Site-to-Site VPN en klik op de radioknop naast Een Site-to-Site VPN-on-Site VPN maken op de startpagina met SDH. Klik vervolgens op De geselecteerde taak starten zoals hieronder wordt weergegeven:
Kies Stap voor stap wizard om verder te gaan met de configuratie:
Typ in het volgende venster de VPN-verbindingsinformatie in de betreffende ruimtes. Selecteer de interface van de VPN-tunnel in de vervolgkeuzelijst. Hier, FastEthernet0 wordt geselecteerd. Selecteer in het gedeelte Peer Identity de optie Peer met het statische IP-adres en geef het externe IP-adres op. Typ vervolgens de Pre-Shared key (cisco123 in dit voorbeeld) in de sectie Verificatie zoals getoond. Klik vervolgens op Volgende.
Klik op Add om IKE-voorstellen toe te voegen die het Encryption Algorithm, Authentication Algorithm en de Key Exchange-methode specificeren.
Typ Encryption Algorithm, verificatie Algorithm en de Key Exchange-methode zoals hier aangegeven, en klik vervolgens op OK. De waarden Encryption Algorithm, Authentication Algorithm en de Key Exchange-methode moeten overeenkomen met de gegevens in de ASA.
Klik op Volgende zoals hier wordt weergegeven.
In dit nieuwe venster dienen de details voor het omzetten van de instellingen te worden verstrekt. Met de Instellen Omzetten wordt de Encryptie en verificatie-algoritmen gespecificeerd die worden gebruikt om gegevens in VPN-tunnels te beschermen. Klik vervolgens op Toevoegen om deze gegevens te verstrekken. U kunt indien nodig een aantal transformatiesets toevoegen door op Toevoegen te klikken en de gegevens te verstrekken.
Geef de Set-details op (Encryptie en verificatie-algoritme) en klik op OK zoals aangegeven.
Kies de gewenste transformatie die ingesteld wordt om gebruikt te worden in de vervolgkeuzelijst zoals weergegeven.
Klik op Volgende.
Typ in het volgende venster de informatie over het verkeer dat door de VPN-tunnelleiding beschermd moet worden. Verstrek de bron- en doelnetwerken van het te beschermen verkeer zodat het verkeer tussen de gespecificeerde bron- en doelnetwerken wordt beschermd. In dit voorbeeld is het Bron-netwerk 10.20.10.0 en het Bestemingsnetwerk is 10.10.10.0. Klik vervolgens op Volgende.
Dit venster toont de samenvatting van de Site-to-Site VPN-configuratie uitgevoerd. Controleer de VPN-connectiviteit testen na het configureren van het vakje als u de VPN-connectiviteit wilt testen. Hier wordt het vakje ingeschakeld om de aansluitingen te controleren. Klik vervolgens op Voltooien.
Klik op Start zoals wordt getoond om de VPN-connectiviteit te controleren.
In het volgende venster wordt het resultaat van de VPN connectiviteit Test geleverd. Hier zie je of de tunnel omhoog of omlaag is. In deze voorbeeldconfiguratie, is de Tunnel Omhoog zoals in groen weergegeven.
Dit voltooit de configuratie op de Cisco IOS-router.
ASA |
---|
ASA#show run : Saved ASA Version 8.0(2) ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configure the outside interface. ! interface Ethernet0/1 nameif outside security-level 0 ip address 172.16.1.1 255.255.255.0 !--- Configure the inside interface. ! interface Ethernet0/2 nameif inside security-level 100 ip address 10.10.10.1 255.255.255.0 !-- Output suppressed ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list 100 extended permit ip any any access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.20.10.0 255.255.255.0 !--- This access list (inside_nat0_outbound) is used !--- with the nat zero command. This prevents traffic which !--- matches the access list from undergoing network address translation (NAT). !--- The traffic specified by this ACL is traffic that is to be encrypted and !--- sent across the VPN tunnel. This ACL is intentionally !--- the same as (outside_1_cryptomap). !--- Two separate access lists should always be used in this configuration. access-list outside_1_cryptomap extended permit ip 10.10.10.0 255.255.255.0 10.20.10.0 255.255.255.0 !--- This access list (outside_cryptomap) is used !--- with the crypto map outside_map !--- to determine which traffic should be encrypted and sent !--- across the tunnel. !--- This ACL is intentionally the same as (inside_nat0_outbound). !--- Two separate access lists should always be used in this configuration. pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image disk0:/asdm-613.bin asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 10.10.10.0 255.255.255.0 nat (inside) 0 access-list inside_nat0_outbound !--- NAT 0 prevents NAT for networks specified in !--- the ACL inside_nat0_outbound. access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.16.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 0.0.0.0 0.0.0.0 dmz no snmp-server location no snmp-server contact !--- PHASE 2 CONFIGURATION ---! !--- The encryption types for Phase 2 are defined here. crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac !--- Define the transform set for Phase 2. crypto map outside_map 1 match address outside_1_cryptomap !--- Define which traffic should be sent to the IPsec peer. crypto map outside_map 1 set peer 172.17.1.1 !--- Sets the IPsec peer crypto map outside_map 1 set transform-set ESP-DES-SHA !--- Sets the IPsec transform set "ESP-AES-256-SHA" !--- to be used with the crypto map entry "outside_map". crypto map outside_map interface outside !--- Specifies the interface to be used with !--- the settings defined in this configuration. !--- PHASE 1 CONFIGURATION ---! !--- This configuration uses isakmp policy 10. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used. crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption des hash sha group 1 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! tunnel-group 172.17.1.1 type ipsec-l2l !--- In order to create and manage the database of connection-specific !--- records for ipsec-l2l—IPsec (LAN-to-LAN) tunnels, use the command !--- tunnel-group in global configuration mode. !--- For L2L connections the name of the tunnel group MUST be the IP !--- address of the IPsec peer. tunnel-group 172.17.1.1 ipsec-attributes pre-shared-key * !--- Enter the pre-shared-key in order to configure the !--- authentication method. telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! !-- Output suppressed! username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15 Cryptochecksum:be38dfaef777a339b9e1c89202572a7d : end |
router |
---|
Building configuration... Current configuration : 2403 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! no logging buffered ! username cisco123 privilege 15 password 7 1511021F07257A767B no aaa new-model ip subnet-zero ! ! ip cef ! ! ip ips po max-events 100 no ftp-server write-enable ! !--- Configuration for IKE policies. !--- Enables the IKE policy configuration (config-isakmp) !--- command mode, where you can specify the parameters that !--- are used during an IKE negotiation. Encryption and Policy details are hidden as the default values are chosen. crypto isakmp policy 2 authentication pre-share !--- Specifies the pre-shared key "cisco123" which should !--- be identical at both peers. This is a global !--- configuration mode command. crypto isakmp key cisco123 address 172.16.1.1 ! ! !--- Configuration for IPsec policies. !--- Enables the crypto transform configuration mode, !--- where you can specify the transform sets that are used !--- during an IPsec negotiation. crypto ipsec transform-set ASA-IPSEC esp-des esp-sha-hmac ! !--- !--- Indicates that IKE is used to establish !--- the IPsec Security Association for protecting the !--- traffic specified by this crypto map entry. crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel to172.16.1.1 !--- !--- Sets the IP address of the remote end. set peer 172.16.1.1 !--- !--- Configures IPsec to use the transform-set !--- "ASA-IPSEC" defined earlier in this configuration. set transform-set ASA-IPSEC !--- !--- Specifies the interesting traffic to be encrypted. match address 100 ! ! ! !--- Configures the interface to use the !--- crypto map "SDM_CMAP_1" for IPsec. interface FastEthernet0 ip address 172.17.1.1 255.255.255.0 duplex auto speed auto crypto map SDM_CMAP_1 ! interface FastEthernet1 ip address 10.20.10.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet2 no ip address ! interface Vlan1 ip address 10.77.241.109 255.255.255.192 ! ip classless ip route 10.10.10.0 255.255.255.0 172.17.1.2 ip route 10.77.233.0 255.255.255.0 10.77.241.65 ip route 172.16.1.0 255.255.255.0 172.17.1.2 ! ! ip nat inside source route-map nonat interface FastEthernet0 overload ! ip http server ip http authentication local ip http secure-server ! !--- Configure the access-lists and map them to the Crypto map configured. access-list 100 remark SDM_ACL Category=4 access-list 100 remark IPSec Rule access-list 100 permit ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255 ! ! ! !--- This ACL 110 identifies the traffic flows using route map access-list 110 deny ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 110 permit ip 10.20.10.0 0.0.0.255 any route-map nonat permit 10 match ip address 110 ! control-plane ! ! line con 0 login local line aux 0 line vty 0 4 privilege level 15 login local transport input telnet ssh ! end |
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
toon crypto isakmp sa-toont alle huidige IKE SAs bij een peer.
ASA#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 172.17.1.1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE
toon crypto ipsec sa-Toont alle huidige IPsec SAs bij een peer.
ASA#show crypto ipsec sa interface: outside Crypto map tag: outside_map, seq num: 1, local addr: 172.16.1.1 local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0) current_peer: 172.17.1.1 #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9 #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.1.1 path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: 434C4A7F inbound esp sas: spi: 0xB7C1948E (3082917006) transform: esp-des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 12288, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274999/3588) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x434C4A7F (1129073279) transform: esp-des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 12288, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274999/3588) IV size: 8 bytes replay detection support: Y
toon crypto isakmp sa-toont alle huidige IKE SAs bij een peer.
Router#show crypto isakmp sa dst src state conn-id slot status 172.17.1.1 172.16.1.1 QM_IDLE 3 0 ACTIVE
toon crypto ipsec sa-Toont alle huidige IPsec SAs bij een peer.
Router#show crypto ipsec sa interface: FastEthernet0 Crypto map tag: SDM_CMAP_1, local addr 172.17.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0) current_peer 172.16.1.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 68, #pkts encrypt: 68, #pkts digest: 68 #pkts decaps: 68, #pkts decrypt: 68, #pkts verify: 68 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.17.1.1, remote crypto endpt.: 172.16.1.1 path mtu 1500, ip mtu 1500 current outbound spi: 0xB7C1948E(3082917006) inbound esp sas: spi: 0x434C4A7F(1129073279) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: C18XX_MBRD:1, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): (4578719/3004) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xB7C1948E(3082917006) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: C18XX_MBRD:2, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): (4578719/3002) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas:
tonen de crypto motor verbindingen actief-toont huidige verbindingen en informatie over gecodeerde en gedecrypteerde pakketten (slechts router).
Router#show crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt 3 FastEthernet0 172.17.1.1 set HMAC_SHA+DES_56_CB 0 0 2001 FastEthernet0 172.17.1.1 set DES+SHA 0 59 2002 FastEthernet0 172.17.1.1 set DES+SHA 59 0
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
Opmerking: Raadpleeg Belangrijke informatie over debug Commands en IP security probleemoplossing - Bezig met begrijpen en gebruiken debug Commands voordat u debug-opdrachten gebruikt.
debug crypto ipsec 7-displays de IPsec onderhandelingen van fase 2.
debug crypto isakmp 7 — Hiermee geeft u de ISAKMP-onderhandelingen van fase 1 weer.
debug crypto ipsec-displays de IPsec onderhandelingen van fase 2.
debug crypto isakmp — Hiermee geeft u de ISAKMP-onderhandelingen van fase 1 weer.
Raadpleeg de meest gebruikelijke L2L- en IPSec VPN-oplossingen voor probleemoplossing voor probleemoplossing bij site-site VPN.